Fusselbär
Makefile Voyeur
Passwortgeschützte rar-Dateien können Schadcode einschmuggeln.
Betroffen sollen hiervon die Unics Stable Rar Versionen 3.60 sein,
laut einer Meldung von Heise:
http://www.heise.de/newsticker/meldung/84990
Auf FreeBSD ist es relativ einfach, auf die Rar Beta Version 3.70 beta 1
zu wechseln, welche von der Sicherheitslücke nicht betroffen sein soll.
In das Makefile in:
reingucken.
Die:
von 3.60 auf 3.70 ändern
und den:
von rarbsd-3.6.0 auf rarbsd-3.7.b1
ändern.
Dann noch die distinfo entfernen (es ist ja die "alte" für 3.60)
und mittels:
das File fetchen und eine neue distinfo für die 3.70 beta 1
generieren.
Dann aktuallisieren z.B. mit portupgrade
oder dem Lieblingstool der Portverwaltung der eigenen Wahl.
Einfaches deinstallieren der 3.60 und installieren der 3.70 beta 1
geht natürlich auch. ;-)
Großartig getestet habe ich Rar 3.70 beta 1
aber noch nicht.
Habe gerade nichts zum auspacken mit Passwort.
Aber Rar sagt auf jeden Fall schon mal, das es jetzt
die Version 3.70 beta 1 habe
und ich mag es einfach,
das Gefühl zu haben, alles getan zu haben
was in meiner Macht steht, um das System
so sicher wie möglich zu halten.
Für NetBSD, OpenBSD, DragonflyBSD
sind dann bitte die jeweiligen Gurus
gefragt.
Dieser Workaround für FreeBSD sollte bitte auch nochmals
von FreeBSD Gurus überprüft werden.
Gruß, Fusselbär
Betroffen sollen hiervon die Unics Stable Rar Versionen 3.60 sein,
laut einer Meldung von Heise:
http://www.heise.de/newsticker/meldung/84990
Auf FreeBSD ist es relativ einfach, auf die Rar Beta Version 3.70 beta 1
zu wechseln, welche von der Sicherheitslücke nicht betroffen sein soll.
In das Makefile in:
Code:
/usr/ports/archivers/rar/Die:
Code:
PORTVERSION=und den:
Code:
DISTNAME=ändern.
Dann noch die distinfo entfernen (es ist ja die "alte" für 3.60)
und mittels:
Code:
make makesumgenerieren.
Dann aktuallisieren z.B. mit portupgrade
oder dem Lieblingstool der Portverwaltung der eigenen Wahl.
Einfaches deinstallieren der 3.60 und installieren der 3.70 beta 1
geht natürlich auch. ;-)
Großartig getestet habe ich Rar 3.70 beta 1
aber noch nicht.
Habe gerade nichts zum auspacken mit Passwort.
Aber Rar sagt auf jeden Fall schon mal, das es jetzt
die Version 3.70 beta 1 habe
und ich mag es einfach,
das Gefühl zu haben, alles getan zu haben
was in meiner Macht steht, um das System
so sicher wie möglich zu halten.
Für NetBSD, OpenBSD, DragonflyBSD
sind dann bitte die jeweiligen Gurus
gefragt.
Dieser Workaround für FreeBSD sollte bitte auch nochmals
von FreeBSD Gurus überprüft werden.
Gruß, Fusselbär